Site icon Sophos News

Incident-Response auf dem Prüfstand 4 Tipps zur richtigen Reaktion auf Cyber-Vorfälle

Unternehmen und Organisationen stehen bei einem Cyberangriff enorm unter Druck, denn die richtige Reaktion auf einen Vorfall ist zeitintensiv, erfordert aber gleichzeitig ein schnelles Handeln. Die Incident-Response-Experten von Sophos haben deshalb einen Leitfaden entwickelt, der Unternehmen bei der Bewältigung dieser schwierigen Aufgabe helfen soll. Diese vier Tipps basieren auf praktischen Erfahrungen der Teams aus den Bereichen Managed Threat Response und Rapid Response, die gemeinsam bereits auf Tausende von Cyber-Security-Vorfällen reagiert haben.

Tipp 1: So schnell wie möglich reagieren
Wenn Unternehmen angegriffen werden, zählt jede Sekunde. Unternehmensinterne Security-Teams benötigen aber oft zu lange, um angemessen schnell zu reagieren. Der häufigste Grund dafür ist, dass sie den Ernst der Situation und die Dringlichkeit nicht rechtzeitig erkennen. Zudem erfolgen viele Angriffe an Feiertagen, Wochenenden und in der Nacht. Da die meisten IT- und Security-Teams deutlich unterbesetzt sind, erfolgt die Reaktion auf einen Angriff zu diesen Zeiten oft zu spät, um die Auswirkungen des Angriffs rechtzeitig einzugrenzen.

Zudem senkt eine gewisse Alarmmüdigkeit ein rasches Vorgehen. Und selbst bei richtiger und rechtzeitiger Reaktion verfügen Security-Teams oft nicht über die nötige Erfahrung, um die richtigen Schritte einzuleiten. Deshalb sollten mögliche Vorfälle und die Reaktion hierauf im Voraus detailliert geplant werden. Die zehn wichtigsten Schritte eines solchen Cyberkrisenplans hat Sophos im Incident Response Guide unter https://secure2.sophos.com/en-us/security-news-trends/whitepapers/gated-wp/incident-response-guide.aspx aufgeführt.

Tipp 2: Aktionen nicht vorschnell als „Mission erfüllt” erklären
Bei einem Cybervorfall reicht es nicht aus, lediglich die Symptome zu behandeln. Es muss auch den Ursachen auf den Grund gegangen werden. Die erfolgreiche Entfernung einer Malware und das Löschen eines Alarms bedeutet beispielsweise nicht, dass der Angreifer aus der Umgebung vertrieben wurde. Denn es könnte sich lediglich um einen Testlauf des Angreifers handeln, um festzustellen, mit welchen Verteidigungsmaßnahmen er konfrontiert ist. Wenn der Angreifer nach wie vor Zugriff auf die Infrastruktur hat, wird er wahrscheinlich wieder zuschlagen, aber mit größerer Zerstörungskraft. Hat der Angreifer immer noch einen Fuß in der Umgebung? Plant er, eine zweite Welle zu starten? Erfahrene Incident-Response-Mitarbeiter wissen, wann und wo sie genauer nachforschen müssen. Sie suchen nach allem, was die Angreifer im Netzwerk tun, getan haben oder möglicherweise planen und neutralisieren auch diese Aktivitäten.

Tipp 3: Entscheidend ist eine vollständige Sichtbarkeit
Bei einem Angriff ist es wichtig, Zugang zu richtigen, qualitativ hochwertigen Daten zu haben. Nur diese Informationen ermöglichen es, potenzielle Indikatoren für einen Angriff genau zu identifizieren und die Ursache zu bestimmen. Spezialisierte Teams sammeln relevante Daten zur Erkennung der Signale und sie wissen, wie diese zu priorisieren sind. Dabei beachten sie folgende Punkte:

Tipp 4: Es ist OK, um Hilfe zu bitten
Der Mangel an qualifizierten Ressourcen für die Untersuchung von Vorfällen und die Reaktion darauf ist eines der größten Probleme, mit denen die Cybersicherheitsbranche heute konfrontiert ist. Viele IT- und Sicherheitsteams, die bei Cyberangriffen unter hohem Druck stehen, geraten in Situationen, für die sie nicht die nötigen Erfahrungen und Fähigkeiten haben. Dieses Dilemma hat einer Alternative Platz gemacht: Managed Security Services. Genauer gesagt, Managed Detection and Response (MDR) Services. MDR-Services sind ausgelagerte Sicherheitsoperationen, die von einem Spezialisten-Team erbracht werden und stellen eine Erweiterung des unternehmensinternen Sicherheitsteams dar. Diese Services kombinieren von Menschen geleitete Untersuchungen, Echtzeitüberwachung und Reaktion auf Vorfälle mit Technologien zum Sammeln und Analysieren von Informationen.

Für Unternehmen, die noch keinen MDR-Service in Anspruch genommen haben und auf einen aktiven Angriff reagieren müssen, sind spezialisierte Incident-Response-Services eine gute Option. Incident Responder werden dann hinzugezogen, wenn das Sicherheitsteam überfordert ist und externe Experten benötigt werden, um den Angriff zu bewerten und sicherzustellen, dass der Angreifer neutralisiert wird. Auch Unternehmen, die über ein Team von qualifizierten Sicherheitsanalysten verfügen, können von der Zusammenarbeit mit einem Incident Response Service profitieren. So können beispielsweise Lücken in der Abdeckung (z. B. nachts, an Wochenenden und Feiertagen) geschlossen oder spezialisierte Aufgaben, die bei der Reaktion auf Vorfälle benötigt werden, zugeteilt werden.

 

Exit mobile version